安全问题存档¶
Django的开发团队致力于负责任地报告和披露安全相关问题,如 Django的安全策略 中所述。
作为该承诺的一部分,我们保留以下历史清单,列出已确定和披露的问题。对于每个问题,以下列表包括日期,简要说明,CVE标识符 (如果适用),受影响版本的列表,完整披露的链接以及到适当补丁的链接。
一些重要的警告适用于此信息:
受影响版本的列表仅包括在公开时具有稳定的,安全支持的版本的那些版本的Django。这意味着较早版本(其安全支持已过期)和在公开时处于预发布(alpha/beta/RC)状态的版本可能已受到影响,但未列出。
Django项目有时会发出安全建议,指出由于配置不当或Django本身以外的其他问题可能导致的潜在安全问题。其中一些顾问已经收到CVEs;当这种情况下,他们在这里列出,但因为他们没有伴随的补丁或版本,只有描述,披露和CVE将被列出。
Django安全过程之前的问题¶
在Django使用正式的安全进程之前,处理了一些安全问题。对于这些,当时可能没有发布新版本,CVE可能尚未分配。
2006年8月16日 - CVE-2007-0404¶
翻译框架中的文件名验证问题。 完整说明
Django安全流程下的问题¶
所有其他安全问题已在Django安全过程的版本下处理。这些列在下面。
2007年10月26日 - CVE-2007-5712¶
通过任意大的 Accept-Language
报头拒绝服务。 完整说明
2008年5月14日 - CVE-2008-2302¶
XSS通过管理员登录重定向。 完整说明
2008年9月2日 - CVE-2008-3909¶
CSRF通过在管理员登录期间保存POST数据。 完整说明
2011年2月8日 - CVE-2011-0698¶
在Windows上通过不正确的路径分隔符处理进行目录遍历。 完整说明
2011年9月9日 - CVE-2011-4137¶
通过 URLField.verify_exists
拒绝服务。 完整说明
2011年9月9日 - CVE-2011-4138¶
信息泄漏/通过 URLField.verify_exists
发出任意请求。 完整说明
2011年9月9日 - CVE-2011-4140¶
通过 Host
标题的潜在CSRF。 完整说明
2013年2月19日 - CVE-2013-1664 / CVE-2013-1665¶
基于实体的针对Python XML库的攻击。 完整说明
2014年4月21日 - CVE-2014-0472¶
使用 reverse()
意外执行代码。 完整说明
2014年4月21日 - CVE-2014-0473¶
缓存匿名页面可能会显示CSRF令牌。 完整说明
2014年4月21日 - CVE-2014-0474¶
MySQL类型转换会导致意外的查询结果。 完整说明
2014年5月18日 - CVE-2014-1418¶
可以允许高速缓存存储和提供私有数据。 完整说明
2014年5月18日 - CVE-2014-3730¶
用户输入的格式错误的网址验证不正确。 完整说明
2014年8月20日 - CVE-2014-0480¶
reverse()
可以生成指向其他主机的URL。 完整说明
2014年8月20日 - CVE-2014-0481¶
文件上传拒绝服务。 完整说明
2014年8月20日 - CVE-2014-0482¶
RemoteUserMiddleware
会话劫持。 完整说明
2014年8月20日 - CVE-2014-0483¶
在admin中通过querystring操作泄漏数据。 完整说明
2015年1月13日 - CVE-2015-0219¶
WSGI头通过下划线/破折号混淆进行欺骗。 完整说明
2015年1月13日 - CVE-2015-0220¶
通过用户提供的重定向URL减轻可能的XSS攻击。 完整说明
2015年1月13日 - CVE-2015-0221¶
对 django.views.static.serve()
的拒绝服务攻击。 完整说明
2015年1月13日 - CVE-2015-0222¶
数据库拒绝服务与 ModelMultipleChoiceField
。 完整说明
2015年3月9日 - CVE-2015-2241¶
通过 ModelAdmin.readonly_fields
中的属性进行XSS攻击。 完整说明
2015年3月18日 - CVE-2015-2316¶
strip_tags()
的拒绝服务可能性。 完整说明
2015年3月18日 - CVE-2015-2317¶
通过用户提供的重定向URL减轻可能的XSS攻击。 完整说明
2015年7月8日 - CVE-2015-5143¶
通过填充会话存储拒绝服务的可能性。 完整说明
2015年7月8日 - CVE-2015-5144¶
标头注入的可能性,因为验证器接受输入中的换行符。 完整说明
2015年8月18日 - CVE-2015-5963 / CVE-2015-5964¶
通过填充会话存储,在 logout()
视图中的拒绝服务可能性。 完整说明
2016年2月1日 - CVE-2016-2048¶
具有“更改”但不是“添加”权限的用户可以使用 save_as=True
创建 ModelAdmin
的对象。 完整说明
2016年3月1日 - CVE-2016-2512¶
恶意重定向和可能的XSS攻击通过用户提供的重定向URL包含基本的验证。 完整说明
2016年9月26日 - CVE-2016-7401¶
使用Google Analytics(分析)在网站上绕过CSRF保护。 完整说明
2016年11月1日 - CVE-2016-9013¶
在Oracle上运行测试时创建的硬编码密码的用户。 完整说明